emhanik
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Наткнулся на странное поведение. Возможно, «это не баг, а фича», но хочется хотя бы понять ее логику и смысл... Коротко: если sfx-архив, требующий административный доступ, добавлен в доверенные файлы, то после распаковки его содержимое станет доверенным. Подробно: Конфигурация: Win7x86, CIS6.3 Имеется несколько программ, неизвестных Комодо (Program.exe и другие). Помещаем их в каталог dir и пакуем WinRar'ом в sfx-архив Arc.exe. Параметры SFX: выполнить после распаковки: dir\Program.exe; ждать и устанавливать код возврата: включено; запрос административного доступа: включено. Параметры CIS: HIPS: параноидальный, оповещения включены, никаких правил для архива Arc.exe и его содержимого нет; автопесочница: полная виртуализация (в режиме «частично ограниченное» ситуация аналогичная); обнаружение программ, требующих повышенных привилегий, и оповещение об этом: выключено; рейтинг файлов: файл Arc.exe в доверенных. Запускаем — безо всяких алертов (только от UAC) и ограничений происходит распаковка и запуск Program.exe. Смотрим «рейтинг файлов»: все распакованные exe-файлы автоматически попали в «доверенные». Вопросов куча: 1. Почему «доверенность» архива привела к «доверенности» содержимого? 1a. Почему именно при запуске с правами администратора? 1b. Почему этого не произойдет, если просто запустить Arc.exe с правами администратора, но не ставить галку «Запрос административного доступа» при архивации? 2. Почему в параноидальном режиме не было алерта ни на распаковку (т.е. создание исполняемых файлов), ни на запуск Program.exe, ни на активность Program.exe? 2a. Почему, если при архивации не поставить галку «Ждать и устанавливать код возврата», то алерты на активность Program.exe все же будут? Вопросы можно продолжать Или вариант без песочницы: HIPS: безопасный, оповещения включены, никаких правил для Arc.exe и его содержимого нет; автопесочница: выключена; рейтинг файлов: файл Arc.exe в доверенных. Результат аналогичный: распаковка, запуск и активность Program.exe происходили без алертов, содержимое архива само собой стало доверенным. Еще вариант: HIPS: параноидальный, оповещения включены, никаких правил для Arc.exe и его содержимого нет; автопесочница: полная виртуализация; обнаружение программ, требующих повышенных привилегий, и оповещение об этом: ВКЛЮЧЕНО; рейтинг файлов: файла Arc.exe НЕТ в доверенных. При запуске возникнет алерт от песочницы (причем дважды: до и после флерта UAC), разрешаем запуск без ограничений (но галку «доверять» не ставим). В результате распаковка, запуск и активность Program.exe пройдут без ограничеинй и без алертов; Arc.exe появится в «рейтинге файлов» в «недоверенных», а в «доверенных» не появится ничего нового. Варианты тоже можно продолжать... Добавлено: Иначе говоря, sfx-архив, созданный с параметром «запрос административного доступа» и добавленный в «доверенные файлы», имеет права, аналогичные «установке или обновлению». Но с какой бы стати?.. Соответственно, если архив не добавлен в доверенные, а только однократно запускался без ограничений песочницы — это аналогично правилу «установка или обновление», примененному по алерту без запоминания. | Всего записей: 969 | Зарегистр. 18-12-2011 | Отправлено: 19:06 26-01-2014 | Исправлено: emhanik, 00:33 27-01-2014 |
|